KONZERNRICHTLINIE DATENSCHUTZ-BINDING CORPORATE RULES PRIVACY (BCRP)

 
Konzernrichtlinie Datenschutz– Binding
Corporate   Rules Privacy (BCRP)
    Impressum
Richtline   zum Schutz der Persönlichkeitsrechte im
     Herausgeber
Umgang mit personenbezogenen Daten in der
Deutschen Telekom Gruppe
Deutsche Telekom AG, Group Privacy

Version 2.7
Stand 05.12.2013
Status finale Fassung

 Deutsche Telekom Gruppe, Stand 05.12.2013   Seite 1 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Impressum
Herausgeber
Deutsche Telekom AG
Vorstandsbereich Datenschutz, Recht und Compliance
Group Privacy
Friedrich-Ebert-Allee 140, 53113 Bonn, Deutschland

Titel                            Version                                         Anwendungsbereich
Konzernrichtlinie_Datenschutz_DT 2.7                                             national
AG.docx

Autoren                                 Fachfreigabe von                         Ansprechpartner
Daniel Hoff                             Leiter Group Privacy                     Marcus Schmitz, GPR
Marcus Schmitz, GPR                     Dr. Claus-Dieter Ulmer                   Dr. Jörg Friedrichs, GPR
Dr. Jörg Friedrichs, GPR                                                         Stephanie König, GPR
Status und Stand                        Inkrafttreten                            Ort der Dokumentation
finale Fassung                          In der Deutschen Telekom AG              Richtliniendatenbank der
05.12.2013                              gemäß Vorstandsbeschluss vom             Deutschen Telekom
                                        10.06.2014 zum 01.07.2014.               (http://richtlinien.telekom.de)
                                        In den Konzerngesellschaften
                                        gemäß Organbeschluss bzw.
                                        Entscheidung des zuständigen
                                        Organmitglieds.
Zusammenfassung
Regelung zum Umgang mit personenbezogenen Daten im Konzern; Neufassung des Privacy Code of
Conduct

Änderungshistorie
Version      Stand      Bearbeiter                      Änderungen / Kommentar
2.2          20.01.2013 Sonja Klauck                    Überarbeitete Version des Privacy Code of Conducts
                                                        deutsch Version 2.1
2.3          08.02.2013 Dr. Claus-Dieter Ulmer          Komplette Überarbeitung
2.4          14.02.2013 Dr. Claus-Dieter Ulmer          Datenweitergabe und Haftung
2.5          21.03.2013 Marcus Schmitz                  Überarbeitung mit den Anmerkungen des BfDI
                        Dr. Claus-Dieter Ulmer
2.6          09.04.2013 Daniel Hoff                     Überarbeitung mit den Anmerkungen des BfDI
2.7          05.12.2013 Daniel Hoff,                    Überarbeitung mit den Anmerkungen der
                        Marcus Schmitz                  Österreichischen Aufsichtsbehörde

Achtung:
Ein Ausdruck dieser Konzernrichtlinie könnte bereits veraltet sein. Bitte überprüfen Sie stets in der
Richtliniendatenbank der Deutschen Telekom (http://richtlinien.telekom.de) ob es sich um die aktuelle
Version der Konzernrichtlinie handelt.

Inhaltsverzeichnis
Deutsche Telekom Gruppe, Stand 05.12.2013                                                                      Seite 2 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Teil 1 Geltungsbereich................................................................................................................................................. 6
§1        Rechtsnatur der Konzernrichtlinie Datenschutz..................................................................................................... 6
§2        Anwendungsbereich ...................................................................................................................................................... 6
§3        Verhältnis zu anderen Rechtsvorschriften ............................................................................................................... 6
§4        Beendigung und Kündigung ....................................................................................................................................... 7
Teil 2 Grundsätze ............................................................................................................................................................. 8
Abschnitt 1 Transparenz der Datenverarbeitung............................................................................... 8
§5        Informationspflicht .......................................................................................................................................................... 8
§6        Inhalt und Gestaltung der Information ...................................................................................................................... 8
§7        Verfügbarkeit von Informationen ................................................................................................................................ 8
Abschnitt 2 Zulässigkeitsvoraussetzungen für die Verwendung
personenbezogener Daten ...................................................................................................................................... 9
§8        Grundsatz .......................................................................................................................................................................... 9
§9        Zulässigkeit der Verwendung personenbezogener Daten ................................................................................. 9
§ 10 Einwilligung des Betroffenen....................................................................................................................................... 9
§ 11 Automatisierte Einzelentscheidungen .................................................................................................................... 10
§ 12 Die Verwendung personenbezogener Daten für Direktmarketingzwecke ................................................... 10
§ 13 Besondere Arten personenbezogener Daten ....................................................................................................... 10
§ 14 Datensparsamkeit, Datenvermeidung, Anonymisierung und Pseudonymisierung ................................... 10
§ 15 Koppelungsverbot ........................................................................................................................................................ 10
Abschnitt 3 Weitergabe personenbezogener Daten........................................................................ 11
§ 16 Arten und Zwecke der Weitergabe von personenbezogenen Daten ............................................................. 11
§ 17 Übermittlung von Daten .............................................................................................................................................. 11
§ 18 Datenverarbeitung im Auftrag ................................................................................................................................... 11
Abschnitt 4 Datenqualität und Datensicherheit ............................................................................... 12
§ 19 Datenqualität .................................................................................................................................................................. 12
§ 20 Datensicherheit - Technische und organisatorische Maßnahmen ................................................................. 12
Teil 3 Rechte des Betroffenen ............................................................................................................................ 13
§ 21 Auskunftsrecht ............................................................................................................................................................... 13
§ 22 Widerspruchsrecht und Recht auf Löschung, Sperrung und Berichtigung................................................. 13
§ 23 Recht auf Klärung, Stellungnahme und Abhilfe ................................................................................................... 13
§ 24 Frage- und Beschwerderecht .................................................................................................................................... 14
§ 25 Ausübung der Rechte des Betroffenen .................................................................................................................. 14
§ 26 Textfassung der Konzernrichtlinie............................................................................................................................ 14

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                                                                                  Seite 3 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Teil 4 Datenschutzorganisation ...................................................................................................................... 15
§ 27 Verantwortung für die Datenverarbeitung.............................................................................................................. 15
§ 28 Datenschutzbeauftragte.............................................................................................................................................. 15
§ 29 Konzerndatenschutzbeauftragter............................................................................................................................. 15
§ 30 Informationspflicht bei Verstößen ............................................................................................................................ 16
§ 31 Überprüfungen des Datenschutzniveaus............................................................................................................... 16
§ 32 Mitarbeiterverpflichtung und Schulung .................................................................................................................. 16
§ 33 Zusammenarbeit mit Aufsichtsbehörden............................................................................................................... 17
§ 34 Zuständige Stellen für Kontakte und Anfragen .................................................................................................... 17
Teil 5 Haftung .................................................................................................................................................................... 18
§ 35 Anwendungsbereich der Haftungsregelungen .................................................................................................... 18
§ 36 Haftungsschuldner ....................................................................................................................................................... 18
§ 37 Beweislast ....................................................................................................................................................................... 18
§ 38 Drittbegünstigung für Betroffene .............................................................................................................................. 18
§ 39 Gerichtsstand ................................................................................................................................................................... 18
§ 40 Außergerichtliche Schlichtung .................................................................................................................................. 19
Teil 6 Schlussbestimmungen ................................................................................................................................ 20
§ 41 Überprüfung und Überarbeitung dieser Konzernrichtlinie ............................................................................... 20
§ 42 Ansprechpartner- und Unternehmensliste............................................................................................................. 20
§ 43 Verfahrensrecht / Salvatorische Klausel ................................................................................................................ 20
§ 44 Öffentliche Bekanntmachung ..................................................................................................................................... 20
Teil 7 Definitionen und Begriffe ......................................................................................................................... 21

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                                                                             Seite 4 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Präambel
(1) Der Schutz personenbezogener Daten von Kunden, Mitarbeitern und anderen Personen, die mit der
    Deutschen Telekom Gruppe in Verbindung stehen, ist ein maßgebliches Ziel aller Unternehmen der
    Deutsche Telekom Gruppe.
(2) Die Unternehmen der Deutschen Telekom Gruppe sind sich bewusst, dass der Erfolg der Deutschen
    Telekom im Ganzen nicht nur von der globalen Vernetzung von Informationsflüssen, sondern vor allem
    auch vom vertrauensvollen und sicheren Umgang mit personenbezogenen Daten abhängt.
(3) In vielen Bereichen wird die Deutsche Telekom Gruppe aus Sicht ihrer Kunden und der Öffentlichkeit
    als eine Einheit wahrgenommen. Es ist deshalb das gemeinsame Anliegen der Unternehmen der
    Deutschen Telekom Gruppe, durch die Umsetzung dieser Konzernrichtlinie einen wichtigen Beitrag
    zum gemeinsamen unternehmerischen Erfolg zu leisten und den Anspruch der Deutschen Telekom
    Gruppe als Anbieter qualitativ hochwertiger und zukunftsweisender Produkte und Dienstleistungen zu
    unterstützen.
(4) Mit dieser Konzernrichtlinie schafft die Deutschen Telekom Gruppe ein weltweit einheitliches und
    hohes Datenschutzniveau. Sowohl für die unternehmensinterne, wie auch die
    unternehmensübergreifende Datenverwendung und sowohl für die nationale, wie die internationale
    Datenübermittlung. Personenbezogene Daten müssen in der Deutschen Telekom Gruppe beim
    Empfänger von Daten entsprechend den datenschutzrechtlichen Grundsätzen verarbeitet werden, die
    für die übermittelnde Stelle gelten.

-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Hinweis:

Bei der Umsetzung dieser Konzernrichtlinie durch Einzelregelungen in den Unternehmen sind die jeweils
bestehenden kollektivrechtlichen Regelungen und Beteiligungsrechte der zuständigen
Arbeitnehmervertretungen zu beachten.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                                                                                      Seite 5 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                            Teil 1
                                       Geltungsbereich
§ 1 Rechtsnatur der Konzernrichtlinie Datenschutz
Die Konzernrichtlinie Datenschutz ist eine bindende Konzernrichtlinie für den Umgang mit
personenbezogenen Daten (entsprechend des Arbeitsdokumentes 133, Artikel 29 Arbeitsgruppe der
Europäischen Kommission). Sie gilt für alle Unternehmen der Deutschen Telekom Gruppe, welche sie
rechtsverbindlich in Kraft gesetzt haben. Gleiches gilt für Unternehmen, bei denen die Deutsche Telekom
das Recht hat, die Übernahme dieser Konzernrichtlinie zu verlangen oder bei denen sie von den
Unternehmen freiwillig übernommen wurde. Dies gilt unabhängig vom Ort der Datenerhebung.

§ 2 Anwendungsbereich
Die Konzernrichtlinie Datenschutz gilt für alle Arten der Verwendung von personenbezogenen Daten in der
Deutschen Telekom Gruppe, unabhängig vom Ort ihrer Erhebung. Personenbezogene Daten werden in der
Deutschen Telekom Gruppe insbesondere zu folgenden Zwecken verwendet:
(1) Zur Verwaltung von Beschäftigtendaten im Rahmen der Anbahnung, Durchführung und Abwicklung
    von Arbeitsverhältnissen sowie zur Ansprache der Beschäftigten zur Vorstellung von Produkten und
    Dienstleistungen, die die Deutsche Telekom Gruppe oder Dritte den Beschäftigten darüber hinaus
    anbieten.
(2) Zur Anbahnung, Durchführung und Abwicklung von Kundenverträgen im Geschäftskundenbereich
    und im Privatkundenmarkt sowie zur Werbung und Marktforschung, um Kunden und interessierte
    Dritte über die Produkte und Leistungen der Deutschen Telekom Gruppe oder Dritter bedarfsgerecht
    informieren zu können.
(3) Zur Anbahnung, Durchführung von Verträgen mit Dienstleistern der Deutschen Telekom Gruppe im
    Rahmen der Erbringung von Dienstleistungen für die Deutsche Telekom Gruppe.
(4) Zum ordnungsgemäßen Umgang mit sonstigen Dritten, insbesondere Aktionären, Gesellschaftern oder
    Besuchern, sowie zur Erfüllung zwingender gesetzlicher Vorschriften.

Die Verwendung der Daten findet im Rahmen der derzeitigen und zukünftigen Geschäftszwecke der
Unternehmen der Deutschen Telekom Gruppe statt, das sind unter anderem Telekommunikation, digitale
Services für den Privat- und Geschäftskundenmarkt, IT-Services einschließlich Rechenzentrums-
dienstleistungen und Beratungsleistungen.

§ 3 Verhältnis zu anderen Rechtsvorschriften
(1) Die Bestimmungen der Konzernrichtlinie Datenschutz sollen ein einheitlich hohes Datenschutzniveau
    in der gesamten Deutsche Telekom Gruppe gewährleisten. Für einzelne Unternehmen bestehende
    Verpflichtungen und Regelungen zur Verarbeitung und Nutzung personenbezogener Daten, die über
    die hier geregelten Grundsätze hinausgehen bzw. zusätzliche Beschränkungen für die Verarbeitung
    und Nutzung personenbezogener Daten enthalten, bleiben von dieser Konzernrichtlinie unberührt.
(2) Für die in Europa erhobenen Daten richten sich die Anforderungen an die datenschutzkonforme
    Verwendung der Daten grundsätzlich und unabhängig vom Ort der Verwendung nach den
    gesetzlichen Regelungen des Staates, in dem die Daten erhoben wurden, mindestens jedoch nach
    den Anforderungen in dieser Konzernrichtlinie Datenschutz.
(3) Die Geltung nationaler Vorschriften, die aus Gründen der Sicherheit des Staates, der
    Landesverteidigung, der öffentlichen Sicherheit sowie der Verhütung, Ermittlung und Verfolgung von
    Straftaten erlassen wurden und zur Weitergabe von Daten an Dritte verpflichten, bleibt von den
    Regelungen in dieser Konzernrichtlinie Datenschutz unberührt. Sollte ein Unternehmen feststellen,
    dass wesentliche Teile dieser Konzernrichtlinie landesgesetzlichen Datenschutzbestimmungen

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                  Seite 6 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

     widersprechen und dies der Unterzeichnung der Konzernrichtlinie entgegensteht, ist der
     Konzerndatenschutzbeauftragte der Deutschen Telekom Gruppe unverzüglich zu unterrichten. Die
     zuständige Aufsichtsbehörde des Unternehmens ist vermittelnd mit einzubeziehen.

§ 4 Beendigung und Kündigung
Die Bindungswirkung dieser Konzernrichtlinie endet, wenn ein Unternehmen die Deutsche Telekom
Gruppe verlässt oder die Konzernrichtlinie außer Kraft setzt. Die Beendigung oder Außerkraftsetzung der
Konzernrichtlinie befreit das Unternehmen jedoch nicht von den Verpflichtungen und/oder Regelungen
dieser Konzernrichtlinie Datenschutz für die Verwendung bereits übermittelter Daten. Jeder weitere
Datentransfer von oder zu diesem Unternehmen kann nur stattfinden, wenn andere angemessene
Verfahrensgarantien gemäß den Anforderungen des Europäischen Rechts eingehalten werden.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                  Seite 7 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                               Teil 2
                                            Grundsätze

Abschnitt 1
Transparenz der Datenverarbeitung
§ 5 Informationspflicht
Die Betroffenen werden über die Verwendung ihrer personenbezogenen Daten entsprechend den
gesetzlichen Regelungen sowie den nachfolgenden Bestimmungen informiert.

§ 6 Inhalt und Gestaltung der Information
(1) Das Unternehmen stellt den Betroffenen in geeigneter Weise folgende allgemeine Informationen zur
    Verfügung:
     a) über die Identität des für die Verarbeitung Verantwortlichen sowie dessen Kontaktadresse.
     b) über die beabsichtigte Verwendung und den Zweck der Verwendung der Daten. Aus der
        Information soll hervorgehen, welche Daten warum und zu welchem Zweck wie lange gespeichert
        und/oder verarbeitet/genutzt werden.
     c) bei Weitergabe oder Übermittlung personenbezogener Daten an Dritte, an wen und in welchem
        Umfang sowie zu welchem Zweck diese Weitergabe oder Übermittlung erfolgt.
     d) über die Rechte, die sie im Zusammenhang mit der Verwendung der Daten haben.

(2) Unabhängig vom gewählten Medium sollen die Informationen den Betroffenen auf eine eindeutige
    und leicht verständliche Weise gegeben werden.

§ 7 Verfügbarkeit von Informationen
Die Informationen müssen den Betroffenen bei der Erhebung der Daten sowie danach stets bei Bedarf zur
Verfügung stehen.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                   Seite 8 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Abschnitt 2
Zulässigkeitsvoraussetzungen für die
Verwendung personenbezogener Daten
§ 8 Grundsatz
Personenbezogene Daten dürfen nur nach Maßgabe der nachfolgenden Bestimmungen und nur für die
Zwecke verwendet werden, für die sie ursprünglich erhoben wurden.
Die Verwendung von bereits erhobenen Daten für andere Zwecke ist nur dann zulässig, wenn dafür die
Zulässigkeitsvoraussetzungen nach Maßgabe der folgenden Bestimmungen vorliegen.

§ 9 Zulässigkeit der Verwendung personenbezogener Daten
Die Verwendung personenbezogener Daten darf erfolgen, wenn eine oder mehrere der folgenden
Voraussetzungen erfüllt sind:
a) Sie ist ausdrücklich gesetzlich zulässig.
b) Der Betroffene hat in die Verwendung seiner Daten eingewilligt;
c) die Verwendung der Daten ist erforderlich für die Erfüllung der Verpflichtungen des Unternehmens aus
   einem Vertrag mit dem Betroffenen, einschließlich der vertraglichen Informations- und/oder
   Nebenpflichten, oder für die Durchführung von vor- und/oder nachvertraglicher Maßnahmen, die der
   Anbahnung oder Abwicklung des Vertragsverhältnisses auf Antrag der betroffenen Person erfolgen;
d) die Verwendung der Daten ist für die Erfüllung einer gesetzlichen bzw. rechtlichen Verpflichtung
   erforderlich, der das Unternehmen unterliegt;
e) die Verwendung der Daten ist erforderlich für die Wahrung lebenswichtiger Interessen der betroffenen
   Person;
f)   die Verwendung der Daten ist erforderlich für die Wahrnehmung einer Aufgabe, die im öffentlichen
     Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt und die dem Unternehmen oder dem
     Dritten, dem die Daten übermittelt werden, auferlegt wurde;
g) die Verarbeitung ist erforderlich zur Verwirklichung des berechtigten Interesses, das von dem
   Unternehmen oder von dem bzw. den Dritten wahrgenommen wird, denen die Daten übermittelt
   werden, sofern nicht das schutzwürdige Interesse des Betroffenen offensichtlich überwiegt.

§ 10 Einwilligung des Betroffenen
Die Einwilligung des Betroffenen gemäß § 9 Abs. 1, lit. b) dieser Konzernrichtlinie ist wirksam wenn:
a) die Einwilligung ausdrücklich und freiwillig erfolgt ist und auf einer informierten Grundlage beruht,
   welche dem Betroffenen insbesondere die Reichweite der Einwilligung aufzeigt. Die
   Einwilligungserklärung muss hinreichend bestimmt sein und den Betroffenen über sein jederzeitiges
   Widerrufsrecht informieren. Bei Geschäftsmodellen bei denen der Widerruf dazu führt, dass
   vertragliche Pflichten nicht erfüllt werden können, ist der Betroffene darüber zu informieren.
b) die Einholung der Einwilligung in einer den Umständen angemessenen Form (Textform) erfolgt. Sie
   kann in Ausnahmefällen mündlich erfolgen, wenn hierbei die Tatsache der Einwilligung sowie die
   besonderen Umstände, die die mündliche Einwilligung angemessen erscheinen lassen, ausreichend
   dokumentiert werden.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                     Seite 9 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

§ 11 Automatisierte Einzelentscheidungen
a) Entscheidungen, die einzelne Aspekte einer Person bewerten und für die Betroffenen möglicherweise
   rechtliche Folgen nach sich ziehen oder sie erheblich beeinträchtigen können, dürfen nicht
   ausschließlich auf eine automatisierte Verwendung von Daten gestützt werden. Hierzu gehören
   insbesondere Entscheidungen für die die Daten über die Kreditwürdigkeit, die berufliche
   Leistungsfähigkeit oder den Gesundheitszustand des Betroffenen maßgeblich sind.
b) Sofern im Einzelfall die sachliche Notwendigkeit zur Vornahme automatisierter Entscheidungen
   besteht, ist der Betroffene über das Ergebnis der automatisierten Entscheidung zu informieren. Er muss
   die Möglichkeit zur Stellungnahme innerhalb einer angemessenen Frist haben. Die Stellungnahme ist
   angemessen zu berücksichtigen, bevor eine endgültige Entscheidung getroffen wird.

§ 12 Die Verwendung personenbezogener Daten für Direktmarketingzwecke
Bei der Verwendung von Daten für Direktmarketingzwecke sind die Betroffenen
a) über die Art und Weise der Verwendung ihrer Daten für Zwecke des Direktmarketings informiert zu
   unterrichten
b) darüber in Kenntnis zu setzen, dass sie jederzeit der Verwendung ihrer personenbezogenen Daten für
   Zwecke des Direktmarketings widersprechen können und
c) in die Lage zu versetzen, ihr Widerspruchsrecht angemessen ausüben zu können, insbesondere
   müssen die Betroffenen Informationen über das Unternehmen, bei dem der Widerspruch einzulegen
   ist, erhalten.

§ 13 Besondere Arten personenbezogener Daten
a) Die Verwendung besonderer Arten von personenbezogenen Daten (vgl. Teil 7) ist nur zulässig, wenn
   sie einer gesetzlichen Regelung unterliegen oder die vorherige Einwilligung des Betroffenen vorliegt.
   Sie kann auch erfolgen, wenn die Verarbeitung erforderlich ist, um den Rechten und Pflichten des
   Unternehmens auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern angemessene
   Schutzmaßnahmen ergriffen werden und die Verwendung aufgrund einzelstaatlichen Rechts nicht
   untersagt ist.
b) Vor Beginn einer solchen Erhebung, Verarbeitung oder Nutzung hat das Unternehmen den
   Datenschutzbeauftragten des Unternehmens zu unterrichten und dies zu dokumentieren. Bei der
   Beurteilung der Zulässigkeit sollen insbesondere Art, Umfang, Zweck, das Erfordernis und die
   Rechtsgrundlage der Verwendung der Daten berücksichtigt werden.

§ 14 Datensparsamkeit, Datenvermeidung, Anonymisierung und Pseudonymisierung
(1) Personenbezogene Daten müssen unter Berücksichtigung der Zweckbestimmung ihrer Verwendung
    oder Nutzung angemessen und relevant sein und dürfen den erforderlichen Umfang nicht übersteigen
    (Datensparsamkeit). Daten dürfen im Rahmen einer bestimmten Anwendung nur dann verarbeitet
    werden, wenn dies erforderlich ist (Datenvermeidung).
(2) In den Fällen, in denen es möglich und wirtschaftlich zumutbar ist, sind Verfahren zur Löschung der
    Identifikationsmerkmale der Betroffenen (Anonymisierung) bzw. zur Ersetzung der
    Identifikationsmerkmale durch andere Kennzeichen (Pseudonymisierung) einzusetzen.

§ 15 Koppelungsverbot
Die Inanspruchnahme von Dienstleistungen oder der Erhalt von Produkten und/oder Dienstleistungen
dürfen nicht davon abhängig gemacht werden, dass der Betroffene in die Verwendung seiner Daten für
andere Zwecke einwilligt, als für die Zwecke der Vertragsbegründung und -erfüllung. Dies gilt nur dann,
wenn dem Betroffenen die Inanspruchnahme vergleichbarer Dienstleistungen bzw. die Nutzung
vergleichbarer Produkte nicht oder in nicht zumutbarer Weise möglich ist.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 10 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Abschnitt 3
Weitergabe personenbezogener Daten
§ 16 Arten und Zwecke der Weitergabe von personenbezogenen Daten
(1) Personenbezogene Daten können derart weitergegeben werden, dass die empfangende Stelle für die
    erhaltenen Daten eigenverantwortlich ist (Übermittlung), oder dass sie die Daten nur nach Weisung und
    Maßgabe der weitergebenden Stelle verwenden darf (Auftragsdatenvereinbarung).
(2) Die Weitergabe von personenbezogenen Daten erfolgt ausschließlich zu den zulässigen Zwecken
    gemäß § 9 dieser Konzernrichtlinie im Rahmen der geschäftsgegenständlichen Ausrichtung der
    Unternehmen, ihrer rechtlich Verpflichtungen oder von Einwilligungen der betroffenen Personen.

§ 17 Übermittlung von Daten
(1) Wenn ein Unternehmen Daten an Stellen übermittelt, die ihren Sitz in einem Drittland haben oder die
    grenzüberschreitenden Datentransfer ausüben, muss sichergestellt werden, dass diese Daten in
    rechtmäßiger Art und Weise übertragen werden. Vor der Übertragung müssen angemessene
    Datenschutz- und Datensicherheitsanforderungen mit dem Empfänger vereinbart werden.
    Personenbezogene Daten, insbesondere die in der EU bzw. EWR erhobenen, dürfen an Stellen
    außerhalb der Europäischen Union zudem nur übermittelt werden, wenn das angemessene
    Datenschutzniveau durch diese Konzernrichtlinie Datenschutz oder durch andere angemessene
    Maßnahmen sichergestellt wurde. Dies können die EU-Standardvertragsklauseln oder vertragliche
    Individualvereinbarungen sein, die den Anforderungen aus dem europäischen Recht genügen.
(2) Auf Grundlage der Vorgaben der Deutschen Telekom Gruppe sowie der allgemein anerkannten
    technischen und organisatorischen Standards, müssen angemessene technische und organisatorische
    Maßnahmen getroffen werden, um den Schutz der personenbezogenen Daten auch während ihrer
    Übermittlung an eine andere Stelle sicherzustellen.

§ 18 Datenverarbeitung im Auftrag 1
(1) Wird eine andere Stelle (Auftragnehmer) im Auftrag eines Unternehmens (Auftraggeber) nach dessen
    Weisung und für dessen Zwecke tätig, so ist neben den zu erbringenden Dienstleistungen im Vertrag
    auch auf die Verpflichtungen des Auftragnehmers als Auftragsdatenverarbeiter Bezug zu nehmen. In
    diesen Verpflichtungen werden die Anweisungen des Auftraggebers bezüglich der Art und Weise der
    Verarbeitung der personenbezogenen Daten, dem Zweck der Verarbeitung und den erforderlichen
    technischen und organisatorischen Maßnahmen zum Schutz der Daten festgelegt.
(2) Ohne die vorherige Zustimmung des Auftraggebers darf der Auftragnehmer die ihm zur
    Auftragserfüllung überlassenen personenbezogenen Daten nicht für eigene oder fremde Zwecke
    verwenden. Die Einbindung von Unterauftragnehmern durch den Auftragnehmer zur Erfüllung der
    vertraglichen Verpflichtungen bedarf der vorherigen Information des Auftraggebers. Der Auftraggeber
    hat ein Widerspruchsrecht gegen die Beauftragung von Unterauftragnehmern. Bei der zulässigen
    Einbindung von Unterauftragnehmern hat der Auftragnehmer den Unterauftragnehmer auf die
    Vereinbarungen, die zwischen dem Auftragnehmer und dem Auftraggeber getroffen wurden,
    entsprechend zu verpflichten.
(3) Die Auftragnehmer sind von den Unternehmen nach ihrer Fähigkeit, die oben genannten
    Anforderungen zu erfüllen, auszuwählen.

1
 Dieser § ist keine Regelung im Sinne des Arbeitspapieres 195 der Artikel 29 Arbeitsgruppe der Europäischen
Kommission.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                      Seite 11 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

Abschnitt 4
Datenqualität und Datensicherheit
§ 19 Datenqualität
(1) Personenbezogene Daten müssen korrekt sein und sind soweit erforderlich auf dem jeweils aktuellen
    Stand zu halten (Datenqualität).
(2) Unter Beachtung des Verwendungszwecks der Daten sind angemessene Maßnahmen dafür zu treffen,
    dass unrichtige oder unvollständige Daten gelöscht, gesperrt oder gegebenenfalls berichtigt werden.

§ 20 Datensicherheit - Technische und organisatorische Maßnahmen
Für die Unternehmensprozesse, IT-Systeme und Plattformen in denen personenbezogene Daten erhoben,
verarbeitet oder genutzt werden, müssen die Unternehmen zum Schutz der Daten angemessene
technische und organisatorische Maßnahmen treffen.
Zu diesen Maßnahmen gehören:
a) Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet
   oder genutzt werden, zu verwehren (Zutrittskontrolle),
b) zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können
   (Zugangskontrolle),
c) zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten
   ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass
   personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt
   gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle),
d) zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während
   des Transports oder der Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder
   entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine
   Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist
   (Kontrolle der Weitergabe),
e) zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem
   personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden
   sind (Eingabekontrolle),
f)   zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend
     den Weisungen des Auftraggebers verarbeitet werden können (Kontrolle des Auftragnehmers),
g) zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt
   sind (Verfügbarkeitskontrolle),
h) zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden
   können (Trennungsgebot).

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 12 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                       Teil 3
                              Rechte des Betroffenen
§ 21 Auskunftsrecht
(1) Jeder Betroffene kann gegenüber jedem Unternehmen, das seine Daten verwendet, jederzeit Auskunft
    verlangen über:
    a) die zu seiner Person gespeicherten Daten, inklusive ihrer Herkunft und Empfänger;
    b) den Zweck der Verwendung der Daten;
    c) die Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, insbesondere soweit
       es sich um eine Übermittlung ins Ausland handelt;
    d) die Regelungen dieser Konzernrichtlinie Datenschutz.

(2) Die Auskunft ist dem Betroffenen in angemessener Frist in verständlicher Form zu erteilen. Sie erfolgt
    in der Regel schriftlich oder elektronisch. Die Information über die Regelungen dieser Konzernrichtlinie
    Datenschutz kann durch Überlassen einer Textfassung der Konzernrichtlinie erfolgen.
(3) Die Unternehmen können für die Auskunftserteilung eine Gebühr verlangen, wenn und soweit dies
    nach Maßgabe des jeweiligen Landesrechts zulässig ist.

§ 22 Widerspruchsrecht und Recht auf Löschung, Sperrung und Berichtigung
(1) Der Betroffene kann der Verwendung seiner Daten jederzeit widersprechen, wenn sie nicht zu
    gesetzlich zwingenden Zwecken verwendet werden.
(2) Das Widerspruchsrecht gilt auch für den Fall, dass der Betroffene zuvor seine Einwilligung zur
    Verwendung seiner Daten gegeben hatte.
(3) Berechtigten Ersuchen zur Löschung oder Sperrung von Daten ist unverzüglich nachzukommen. Ein
    solches Ersuchen ist insbesondere dann berechtigt, wenn die rechtliche Grundlage für die
    Verwendung der Daten weggefallen ist. Falls ein Recht auf Löschung der Daten besteht, eine
    Löschung aber nicht möglich oder unzumutbar ist, sind die Daten für nicht zulässige Verwendungen zu
    sperren. Gesetzliche Aufbewahrungsfristen sind zu beachten.
(4) Der Betroffene kann vom Unternehmen jederzeit die Berichtigung der zu seiner Person gespeicherten
    Daten verlangen, sofern diese unvollständig und/oder unrichtig sind.
(5) Bei Geschäftsmodellen bei denen der Widerspruch oder die Löschung dazu führt, dass vertragliche
    Pflichten nicht erfüllt werden können, ist der Betroffene darüber zu informieren.

§ 23 Recht auf Klärung, Stellungnahme und Abhilfe
(1) Macht ein Betroffener eine Verletzung seiner Rechte durch unzulässige Verwendung seiner Daten,
    insbesondere in Form eines nachweislichen Verstoßes gegen diese Konzernrichtlinie geltend, so
    haben die zuständigen Unternehmen den Sachverhalt ohne schuldhaftes Zögern aufzuklären.
    Insbesondere bei einer Weitergabe oder Übermittlung von Daten an Unternehmen außerhalb der
    Europäischen Union hat das in der Europäischen Union ansässige Unternehmen den Sachverhalt
    aufzuklären und den Beweis zu erbringen, dass die Stelle, die die Daten empfangen hat,, nicht gegen
    diese Konzernrichtlinie verstoßen hat oder verantwortlich für einen entstandenen Schaden ist. Die
    Unternehmen arbeiten bei der Sachverhaltsfeststellung eng zusammen und gewähren sich
    gegenseitig Zugang zu allen dafür erforderlichen Informationen.
(2) Der Betroffene kann gegenüber der Konzernholding der Deutschen Telekom Gruppe jederzeit
    Beschwerde einreichen, wenn der Verdacht besteht, dass ein Unternehmen der Deutschen Telekom
    Gruppe seine personenbezogenen Daten nicht gemäß den Gesetzen oder den Bestimmungen dieser

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 13 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

     Konzernrichtlinie verarbeitet. Der begründeten Beschwerde wird innerhalb eines angemessenen
     Zeitraums abgeholfen und der Betroffene entsprechend informiert.
(3) Sind von einer Beschwerde mehrere Unternehmen betroffen, koordiniert der Datenschutzbeauftragte
    des Unternehmens mit der größten Sachnähe die gesamte einschlägige Korrespondenz mit dem
    Betroffenen. Der Konzerndatenschutzbeauftragte hat ein jederzeitiges Eintritts- und Übernahmerecht.
(4) Meldungen zu einem Datenschutzvorfall müssen in geeigneter Weise (z.B. über ein Funktionspostfach
    des Datenschutzbereiches oder Nennung eines direkten Ansprechpartners im Internet) erfolgen
    können.
(5) Der Datenschutzbeauftragte des betroffenen Unternehmens hat den Konzerndatenschutzbeauftragten
    über einen Datenschutzvorfall anhand der dafür vorgesehenen Meldeprozesse unverzüglich zu
    informieren.
(6) Betroffene können im Falle einer Verletzung ihrer Rechte oder im Schadensfall etwaige Ansprüche
    gemäß den Bestimmungen in Teil 5 dieser Konzernrichtlinie geltend machen.

§ 24 Frage- und Beschwerderecht
Jeder Betroffene hat das Recht, sich jederzeit mit Fragen und Beschwerden zur Anwendung dieser
Konzernrichtlinie an den oder die Datenschutzbeauftragten der Unternehmen zu wenden, das oder die
seine personenbezogenen Daten verwenden. Das Unternehmen mit der größten Sachnähe oder das
Unternehmen, von dem die Daten des Betroffenen erhoben wurden, sorgt für die Umsetzung der Rechte
des Betroffenen bei den anderen zuständigen Unternehmen.

§ 25 Ausübung der Rechte des Betroffenen
Betroffene dürfen wegen der Inanspruchnahme der hier beschriebenen Rechte nicht benachteiligt werden.
Die Art und Weise der Kommunikation mit dem Betroffenen – z.B. telefonisch, elektronisch oder
schriftlich – sollte, soweit dies angemessen ist, dem Wunsch des Betroffenen entsprechen.

§ 26 Textfassung der Konzernrichtlinie
Jedermann bekommt auf Anfrage eine Textfassung dieser Konzernrichtlinie Datenschutz zugesandt.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 14 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                     Teil 4
                            Datenschutzorganisation
§ 27 Verantwortung für die Datenverarbeitung
Die Unternehmen sind verpflichtet, die Einhaltung der gesetzlichen Datenschutzbestimmungen und dieser
Konzernrichtlinie Datenschutz sicherzustellen.

§ 28 Datenschutzbeauftragte
(1) In den Unternehmen ist ein unabhängiger Datenschutzbeauftragter zu bestellen. Dieser hat die
    Aufgabe, die Beratung der verschiedenen Organisationseinheiten in diesem Unternehmen über die
    gesetzlichen sowie unternehmens- und konzerninternen Vorgaben zum Datenschutz und
    insbesondere diese Konzernrichtlinie Datenschutz sicherzustellen. Der Datenschutzbeauftragte
    überwacht die Einhaltung der Datenschutzvorschriften durch geeignete Maßnahmen, insbesondere
    stichprobenartige Kontrollen.
(2) Vor der Bestellung eines Datenschutzbeauftragten ist der Konzerndatenschutzbeauftragte vom
    Unternehmen zu konsultieren.
(3) Das Unternehmen stellt sicher, dass der Datenschutzbeauftragte die erforderlichen Kompetenzen zur
    rechtlichen, technischen und organisatorischen Bewertung von datenschutzrelevanten Maßnahmen
    hat.
(4) Der Datenschutzbeauftragte ist für die Ausübung seiner Aufgaben vom Unternehmen mit
    angemessenen finanziellen und personellen Mitteln auszustatten.
(5) Dem Datenschutzbeauftragten des Unternehmens ist ein direktes Berichtsrecht an die
    Unternehmensleitung einzuräumen. Er ist organisatorisch an die Unternehmensleitung anzubinden.
(6) Die Umsetzung der Vorgaben des Konzerndatenschutzbeauftragten und der Datenschutzstrategie der
    Deutschen Telekom Gruppe obliegt dem Datenschutzbeauftragten des jeweiligen Unternehmens.
(7) Alle Bereiche der Unternehmen sind verpflichtet, den Datenschutzbeauftragten alle Entwicklungen zur
    IT-Infrastruktur, zur Netzinfrastruktur, zu Geschäftsmodellen, Produkten, Personaldatenverarbeitungen
    sowie den zugehörigen strategischen Planungen zu unterrichten. Der Datenschutzbeauftragte ist bei
    neuen Entwicklungen frühzeitig zu beteiligen, um sicherzustellen, dass jegliche Datenschutzbelange
    berücksichtigt und bewertet werden.

§ 29 Konzerndatenschutzbeauftragter
(1) Der Konzerndatenschutzbeauftragte koordiniert die Zusammenarbeit und Abstimmung zu allen
    wichtigen Fragen des Datenschutzes in der Deutschen Telekom Gruppe. Er informiert bei Bedarf den
    Vorstand der Konzernholding der Deutschen Telekom Gruppe zu den aktuellen Entwicklungen oder
    formuliert Empfehlungen.
(2) Es obliegt dem Konzerndatenschutzbeauftragten die Datenschutzpolitik der Deutschen Telekom
    Gruppe zu entwickeln und fortzuschreiben. Die Datenschutzbeauftragten der Unternehmen werden
    dabei angemessen eingebunden. Sie entwickeln die Datenschutzpolitik für ihr Unternehmen im
    Einklang mit der Datenschutzpolitik der Gruppe. Eine gemeinsamer Austausch zwischen dem
    Konzerndatenschutzbeauftragten und den Datenschutzbeauftragten der Länder findet jährlich im
    Rahmen von Präsenzveranstaltungen (International Privacy Leader Meetings) statt.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 15 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

§ 30 Informationspflicht bei Verstößen
Die Datenschutzbeauftragten sind vom betroffenen Unternehmen unverzüglich über Verstöße oder
konkrete Anhaltspunkte für einen Verstoß gegen Datenschutzbestimmungen, insbesondere auch dieser
Konzernrichtlinie Datenschutz, zu informieren. Bei Vorfällen mit möglicher Öffentlichkeitswirkung, mit
Relevanz für mehr als ein Unternehmen oder mit einem möglichen Schadenseintritt von über 500.000 EUR
informiert der Datenschutzbeauftragte unverzüglich auch den Konzerndatenschutzbeauftragten. Die
Datenschutzbeauftragten der Unternehmen informieren den Konzerndatenschutzbeauftragten ferner, wenn
die für ein Unternehmen geltenden Gesetze sich wesentlich nachteilig im Sinne dieser Konzernrichtlinie
ändern.

§ 31 Überprüfungen des Datenschutzniveaus
(1) Überprüfungen der Einhaltung der Vorgaben dieser Konzernrichtlinie und des sich daraus
    abzuleitenden     Datenschutzniveaus     erfolgen      durch       Kontrollen,     die     vom
    Konzerndatenschutzbeauftragten anhand eines jährlichen Kontrollplans durchgeführt werden, sowie
    durch andere Maßnahmen, wie etwa Kontrollen der Datenschutzbeauftragten der Unternehmen oder
    Reports.
(2) Die Kontrollen des Konzerndatenschutzbeauftragten werden durch interne oder externe Auditoren
    durchgeführt. Darüber hinaus werden regelmäßige Self-Assessment Verfahren in der Deutschen
    Telekom Gruppe durchgeführt und vom Konzerndatenschutzbeauftragten koordiniert. Die Ergebnisse
    wesentlicher Kontrollen und die dazu vereinbarten Maßnahmen werden dem Vorstand der Holding der
    Deutschen Telekom Gruppe mitgeteilt. Die zuständige Datenaufsichtsbehörde kann auf Nachfrage
    eine Kopie des Kontrollergebnisses erhalten. Zudem kann die für das Unternehmen zuständige
    Aufsichtsbehörde auch eine Kontrollmaßnahme anstoßen. Diese Kontrollmaßnahmen werden von den
    Unternehmen bestmöglich unterstützt und die daraus abgeleiteten Maßnahmen werden umgesetzt.
(3) Werden im Rahmen einer Kontrolle Schwachstellen festgestellt, sind diese durch entsprechende
    Maßnahmen durch das Unternehmen zu beheben. Der Konzerndatenschutzbeauftragte verfolgt die
    Umsetzung der Maßnahmen. Sollten diese ohne ausreichende Begründung nicht umgesetzt werden,
    bewertet der Konzerndatenschutzbeauftragte die Auswirkungen auf den Datenschutz und leitet die
    notwendigen Konsequenzen und gegebenenfalls eine Eskalation ein.
(4) Die Datenschutzbeauftragten der Unternehmen oder andere mit einem Prüfungsauftrag ausgestattete
    Organisationseinheiten prüfen zusätzlich auf die Einhaltung der Belange des Datenschutzes auf
    Grundlage von eigenen, schriftlich zu dokumentierenden Auditierungsplanungen.
(5) Sofern keine gesetzlichen Beschränkungen bestehen, sind der Konzerndatenschutzbeauftragte bei
    allen Unternehmen und die Datenschutzbeauftragten, jeweils für ihr Unternehmen, befugt die
    ordnungsgemäße Verwendung von personenbezogenen Daten zu überprüfen. Dazu gewähren die
    Unternehmen umfassend Zutritt und Einsicht zu den Informationen, die der
    Konzerndatenschutzbeauftragte und die Datenschutzbeauftragten zur Aufklärung und Bewertung
    eines Sachverhalts für notwendig erachten. Der Konzerndatenschutzbeauftragte und die
    Datenschutzbeauftragten können in diesem Zusammenhang Weisungen erteilen.
(6) Die Datenschutzbeauftragten der Unternehmen bedienen sich im Rahmen ihrer Prüfaufgabe nach
    Möglichkeit konzernweit gleichartiger Verfahren, z.B. in Form von gemeinsamen Datenschutzaudits.
    Diese Verfahren können vom Konzerndatenschutzbeauftragten zur Verfügung gestellt werden.

§ 32 Mitarbeiterverpflichtung und Schulung
(1) Die Unternehmen verpflichten ihre Mitarbeiter spätestens bei Aufnahme ihrer Tätigkeit auf das Daten-
    und Fernmeldegeheimnis. Im Rahmen der Verpflichtung werden die Mitarbeiter ausreichend auf die
    Belange des Datenschutzes geschult. Dafür richtet das Unternehmen geeignete Prozesse ein und stellt
    Materialien zur Verfügung.
(2) Die Mitarbeiter werden regelmäßig, mindestens aber alle zwei Jahre auf die Grundlagen im
    Datenschutz geschult. Die Unternehmen können die Schulungen für die eigenen Mitarbeiter selbst

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                  Seite 16 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

     entwickeln und durchführen. Die Durchführung der Schulungen ist vom Datenschutzbeauftragten des
     Unternehmens zu dokumentieren und an den Konzerndatenschutzbeauftragten jährlich zu berichten.
(3) Der Konzerndatenschutzbeauftragte kann Materialien und Prozesse zur Verpflichtung und Schulung
    der Mitarbeiter der Deutschen Telekom Gruppe zentral zur Verfügung stellen.

§ 33 Zusammenarbeit mit Aufsichtsbehörden
(1) Die Unternehmen erklären sich damit einverstanden, mit der für sie oder das Daten übermittelnde
    Unternehmen zuständigen Aufsichtsbehörde vertrauensvoll zusammenzuarbeiten, insbesondere
    Anfragen zu beantworten und Empfehlungen aufzunehmen.
(2) Im Falle einer Änderung der für ein Unternehmen geltenden Gesetze, die auf die hier gegebenen
    Zusicherungen wesentliche nachteilige Auswirkungen haben können, setzt das Unternehmen die
    zuständige Aufsichtsbehörde über die Änderung in Kenntnis.

§ 34 Zuständige Stellen für Kontakte und Anfragen
     Zuständige Stelle für Kontakte und Anfragen zu dieser Konzernrichtlinie sind die
     Datenschutzbeauftragten der Unternehmen oder der Konzerndatenschutzbeauftragte. Der
     Konzerndatenschutzbeauftragte nennt auf Anfrage auch die Kontakte zu den Datenschutzbeauftragten
     der Unternehmen.

     Der Konzerndatenschutzbeauftragte ist über

                                            datenschutz@telekom.de
                                              privacy@telekom.de
                                              +49-228-181-82001

     zu den üblichen Geschäftszeiten nach mitteleuropäischer Zeit zu erreichen.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                   Seite 17 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                             Teil 5
                                            Haftung
§ 35 Anwendungsbereich der Haftungsregelungen
(1) Die Konzernrichtlinie Datenschutz gilt für diesen Bereich ausschließlich für die Verarbeitung aller
    personenbezogenen Daten aus der EU / dem EWR, auf die die EU-Datenschutzrichtlinie 95/46/EG
    Anwendung findet.
(2) Innerhalb der EU/EWR finden die gesetzlichen Haftungsregelungen der Länder Anwendung, in denen
    ein Unternehmen seinen Sitz hat. Bei Daten, die nicht unter § 35 Abs. 1 BCRP fallen, finden die
    gesetzlichen Haftungsregelungen des Landes Anwendung, in dem das Unternehmen seinen Sitz hat,
    das die Daten erhoben hat, oder wenn keine gesetzliche Regelung besteht, die Allgemeinen
    Geschäftsbedingungen des Unternehmens, das die Daten erhoben hat.
(3) Die Zahlung von Strafschadensersatz, wonach ein Unternehmen einem Betroffenen Zahlungen leisten
    muss, die über den tatsächlich entstandenen Schaden hinausgehen, ist ausdrücklich ausgeschlossen.

§ 36 Haftungsschuldner
(1) Jede betroffene Person, die durch eine Verletzung der in der Konzernrichtlinie genannten Pflichten
    durch ein Unternehmen der Deutschen Telekom Gruppe oder durch Empfänger von Daten, an die ein
    Unternehmen der Deutschen Telekom Gruppe die Daten weitergegeben oder übermittelt hat, ist
    berechtigt, von den beteiligten Unternehmen der Deutschen Telekom Gruppe Schadensersatz für den
    erlittenen Schaden zu verlangen.
(2) Der Betroffene kann den Schadensersatzanspruch auch gegen die Holdinggesellschaft der Deutschen
    Telekom Gruppe geltend machen. Leistet die Holdinggesellschaft Schadensersatz kann sie die
    Erstattung der Zahlungen von den Unternehmen verlangen, die den Schaden verursacht haben oder
    ein verursachenden Dritten beauftragt haben.
(3) Der Betroffene hat den Schadensersatzanspruch zunächst gegen das Unternehmen geltend zu
    machen, das die Daten weitergegeben oder übermittelt hat. Fällt das übertragende Unternehmen als
    Schuldner faktisch oder rechtlich aus, kann der Betroffene seine Ansprüche gegenüber dem
    empfangenen Unternehmen geltend machen. Das empfangende Unternehmen kann sich seiner
    Haftung nicht entziehen, indem es sich auf die Verantwortung eines Auftragnehmers für einen Verstoß
    beruft.
(4) Der Betroffene hat jederzeit das Recht, sich mit einer Beschwerde an die zuständige Aufsichtsbehörde
    oder die für die Holdinggesellschaft der Deutschen Telekom Gruppe zuständige Aufsichtsbehörde zu
    wenden.

§ 37 Beweislast
Die Beweislast für die ordnungsgemäße Verwendung der Daten des Betroffenen tragen die haftenden
Unternehmen.

§ 38 Drittbegünstigung für Betroffene
Soweit dem Betroffenen keine unmittelbaren Rechte zustehen, kann er als Drittbegünstigter die Rechte aus
den Bestimmungen dieser Konzernrichtlinie gegen die Unternehmen geltend machen, wenn diese im
Hinblick auf den Betroffenen ihre Vertragspflichten verletzen.

§ 39 Gerichtsstand
Der Gerichtsstand für die Geltendmachung von Haftungsansprüchen kann nach Wahl des Betroffenen

a) der für den Betroffenen geltende Gerichtsstand oder

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 18 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

b) entweder im Gerichtsstand des Unternehmensteils, von dem die Übermittlung stammt, oder

c) im Gerichtsstand der europäischen Zentrale oder des mit dem Datenschutz beauftragten, in der EU
ansässigen Unternehmensteils sein.

§ 40 Außergerichtliche Schlichtung
(1) Betroffene, die sich durch eine tatsächliche oder vermutete Verwendung von personenbezogenen
    Daten in ihrem Persönlichkeitsrecht beeinträchtigt fühlen, können sich an den
    Datenschutzbeauftragten des betroffenen Unternehmens mit der Bitte um Schlichtung wenden. Dieser
    hat die Berechtigung der Beschwerde zu überprüfen und den Betroffenen im Hinblick auf seine
    Rechte zu beraten. Dabei ist er verpflichtet, die Vertraulichkeit von weiteren, vom Beschwerdeführer
    mitgeteilten personenbezogenen Daten zu wahren, soweit dieser ihn nicht hiervon befreit. Auf Wunsch
    des Betroffenen kann der Versuch unternommen werden, unter Beteiligung des Betroffenen und des
    Datenschutzbeauftragten, eine Einigung über die Beschwerde zu erzielen. Eine solche Einigung kann
    auch eine Empfehlung über einen Ersatz eines durch Verletzung des Persönlichkeitsrechts erlittenen
    Schadens enthalten. Eine solche Empfehlung – sofern sie einvernehmlich zustande kommt – ist für die
    beteiligten Unternehmen verbindlich.
(2) Das Recht sich an mit der Beschwerde an die zuständige Aufsichtsbehörde zu wenden oder eine
    Klage zu erheben bleiben hiervon unberührt.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 19 von 22
| Konzernrichtlinie Datenschutz– Binding Corporate Rules Privacy | Version 2.7

                                        Teil 6
                                 Schlussbestimmungen
§ 41 Überprüfung und Überarbeitung dieser Konzernrichtlinie
(1) Der Konzerndatenschutzbeauftragte überprüft die Konzernrichtlinie Datenschutz in regelmäßigen
    Abständen, mindestens jedoch einmal jährlich, auf deren Vereinbarkeit mit den geltenden Gesetzen
    und passt diese bei Bedarf an.
(2) Wesentlichen Änderungen der Konzernrichtlinie, die sich zum Beispiel aus der notwendigen
    Anpassung an rechtliche Vorgaben ergeben, werden mit der Aufsichtsbehörde abgestimmt. Diese
    Änderungen gelten nach einer angemessenen Übergangsfrist unmittelbar für alle Unternehmen, die
    die Konzernrichtlinie Datenschutz gezeichnet haben.
(3) Der Konzerndatenschutzbeauftragte informiert alle Unternehmen, die die Konzernrichtlinie
    Datenschutz verbindlich eingeführt haben, über die inhaltlichen Änderungen.
(4) Die Datenschutzbeauftragten der Unternehmen sind verpflichtet zu überprüfen, ob Änderungen dieser
    Konzernrichtlinie Datenschutz Auswirkungen auf die Rechtskonformität in ihrem Land haben oder in
    Kollision mit den landesgesetzlichen Bestimmungen stehen. Sollte das Unternehmen die Änderungen
    aus      zwingenden      gesetzlichen     Gründen    nicht     umsetzen     können,    ist    der
    Konzerndatenschutzbeauftragte und zuständige Aufsichtsbehörde unverzüglich darüber zu
    informieren und gegebenenfalls die Konzernrichtlinie Datenschutz für dieses Unternehmen
    vorübergehend auszusetzen.

§ 42 Ansprechpartner- und Unternehmensliste
Der Konzerndatenschutzbeauftragte führt eine Liste der Unternehmen, die diese Konzernrichtlinie
verbindlich eingeführt haben und deren Ansprechpartner. Er hält diese aktuell und informiert Betroffene
bzw. die Datenschutzbehörde auf Anfrage.

§ 43 Verfahrensrecht / Salvatorische Klausel
Die Konzernrichtlinie unterliegt in Streitfragen dem Verfahrensrecht der Bundesrepublik Deutschland.
Sollten einzelne Bestimmungen dieser Konzernrichtlinie unwirksam sein oder werden, gelten sie als durch
Bestimmungen ersetzt, die dem ursprünglichen Gedanken dieser Konzernrichtlinie und der weggefallenen
Bestimmung am nächsten kommt. Im Zweifel gelten in diesen Fällen oder im Fall einer fehlenden Regelung
die einschlägigen Regelungen der europäischen Union zum Datenschutz entsprechend.

§ 44 Öffentliche Bekanntmachung
Die Unternehmen machen die Informationen zu den Rechten der Betroffenen und die
Drittbegünstigungsklausel an geeigneter Stelle der Öffentlichkeit zugänglich, etwa bei den
Datenschutzhinweisen im Internet. Die Veröffentlichung erfolgt unverzüglich nachdem die Konzernrichtlinie
für das Unternehmen verbindlich geworden ist.

Deutsche Telekom Gruppe, Stand 05.12.2013                                                                 Seite 20 von 22
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren